@boiing: Goed speurwerk!

Die Topher Kessler is wel "een baas" (zegt de jeugd tegenwoordig, geloof ik), veel diepgaande informatie in zijn artikelen.

http://www.macissues.com/author/tkesslermac-com/
https://www.cnet.com/profiles/tkessler/
https://www.macworld.com/author/Topher-Kessler/

Ik heb de checker ook eens over mijn apps heengehaald. Hieronder een opsomming van alleen de apps die niet 'accepted' zijn.

/Applications/Beyond Ynth XE HDX.app: rejected (resource envelope is obsolete (custom omit rules))

/Applications/Bonjour Browser.app: rejected
source=no usable signature

/Applications/MediaInfo.app: rejected
source=no usable signature

/Applications/Tomb Raider Underworld.app: rejected (resource envelope is obsolete (custom omit rules))

/Applications/iMovie HD.app: rejected
source=no usable signature

De apps met "no usable signature" zijn oudere OS X apps. De andere twee zijn spelletjes, ooit gekocht in de Mac App Store.

Ik kom inderdaad ook 'rejected' apps tegen maar geen enkele met de reden 'code or signature have been modified'. Een app hoort normaal gesproken 'accepted' te retourneren met 'source=Developer ID of Mac App Store'.

Nog een aanvulling: na het verwijderen en het nalopen van de directories waar 'resten' kunnen achterblijven kwam ik dit tegen in /Library/Application Support:



Dat kan ik nog plaatsen, het kext bestand dat EaseUS probeerde te installeren, maar er staat een verbodsbordje bij omdat ik nog geen toestemming had gegeven? Maar deze in /Library/Preferences:



..vind ik dan weer vreemd. Een .bin bestand in een folder, heel apart.

Vraagje aan Robert: ik zie in het artikel opeens 'extra informatie' staan over het installeren van de systeemextensie. Is dat n.a.v. mijn bericht of stond dat er al eerder?

Is dat n.a.v. mijn bericht of stond dat er al eerder?

Dat stond er al eerder.

Vrij kort na het publiceren toegevoegd, omdat ik me realiseerde dat dat ook belangrijk kon zijn (vooruitziende blik... 😉).

Ok, dat viel me gisteren pas op. Er wordt trouwens pas om het installeren van de systeemextensie gevraagd als je je systeemdisk wil scannen. Zolang je dat niet doet werkt het programma ook zonder, inclusief de s.m.a.r.t. monitor.

Aanvullende test: als de app geïnstalleerd is maar nog niet gestart levert 'spctl --assess' de juiste output:



Na het starten van het programma (admin ww vereist) en meteen weer afsluiten is dit het resultaat:



(De systeemextensie is dan nog niet geïnstalleerd). Er verandert dus iets aan het programma zelf nadat het de eerste keer gestart wordt.

Ik ben inmiddels in contact met EaseUS, ik laat weten wat daar uit komt. Ik zou graag van Robert horen welke macOS versie hij draait, en van HEXDIY of hij ook de 'invalid signature' melding krijgt en uiteraard ook de macOS versie. Thanks!

@ boiing:

mjin Macje draait El Capitan 10.11.6.

Ik kreeg geen foutmeldingen, maar... ik heb dan ook mijn Gatekeeper op "anywhere" staan.

De return van je Terminal commando is bij mij:

~ HEX$ spctl --assess --verbose /Applications/EaseUS\ Data\ Recovery\ Wizard.app
/Applications/EaseUS Data Recovery Wizard.app: accepted
source=Developer ID
override=security disabled
Barts-MacBook:~ HEX$
Wanneer ik Gatekeeper inschakel op "trusted developer" krijg ik idd. hetvolgende te zien:

~ HEX$ spctl --assess --verbose /Applications/EaseUS\ Data\ Recovery\ Wizard.app
/Applications/EaseUS Data Recovery Wizard.app: invalid signature (code or signature have been modified)
Barts-MacBook:~ HEX$
Als je wil weten of EaseUS naar het moederhuis belt, probeer dan eens Little Snitch.
Ik gebruikte die al een poos niet meer, maar nu is mss. wel een gepast ogenblik om dat weer te gaan doen.

Goed speurwerk!

Thanks HEXDIY! Dat is zinvolle info. En een Little Snitch test zal ook interessant zijn. Ik overleg verder met hun support en zal me er vlgd week weer in verdiepen.

Heb net mijn mijn licentie voor Little Snitch vernieuwd, zal later vandaag (als het lukt) gaan testen.

Inmiddels even opgestart, en Little Snitch meldt de volgende twee connecties:





Allereerst mijn excuses dat ik dit niet heb gezien, ik gebruikte sinds een tijdje de app Radio Silence om mijn uitgaande netwerkverkeer te beheersen, realiseerde me hierdoor dat die app gewoon te beperkt is en heb daarom mijn licentie voor Little Snitch hernieuwd (zie hierboven).

Als je goedkoop uit wilt zijn dan is EaseUS Data Recovery aan Radio Silence toevoegen waarschijnlijk voldoende. Verder ben ik erg benieuwd wat er uit de vragen van boiing gaat komen, als dat geen bevredigend antwoord oplevert dan ga ik er natuurlijk ook nog achteraan.

Tja heren, nu slaan we behoorlijk aan het betatesten!

Wat me idd. lichtjes zorgen baart is:

invalid signature (code or signature have been modified)
Een app dat zijn code signatuur verandert na installatie doet wel enige alarmbelletjes afgaan hier...

Ik ga dus ook mijn Little Snitch eens afstoffen. Daar gaan we dan weer, een heel nieuwe whitelist opbouwen enz. enz.

Malwarebytes heb ik ook nog eens gedraaid. Die zegt dat mijn systeem clean is.

Met Virus Total vind ik op het 1ste zicht ook niks vreemds.

Hier nog een screenhot met de EaseUS credits erop; Robert, mogelijk ken je enkele van de namen die eraan hebben meegewerkt?



Tot zover mijn speurwerk voorlopig.

Update:

een "Whois" via Network Utility/ Internic.net leert me dit:

No match for "216.92.61.7".
>>> Last update of whois database: 2019-02-02T16:41:16Z <<<

NOTICE: The expiration date displayed in this record is the date the
registrar's sponsorship of the domain name registration in the registry is
currently set to expire. This date does not necessarily reflect the expiration
date of the domain name registrant's agreement with the sponsoring
registrar.  Users may consult the sponsoring registrar's Whois database to
view the registrar's reported date of expiration for this registration.

Voor wat het waard is...

Update voor 216.92.47.198 via whois.Arin.net:

NetRange:       216.92.0.0 - 216.92.255.255
CIDR:           216.92.0.0/16
NetName:        PAIRNET-BLK-3
NetHandle:      NET-216-92-0-0-1
Parent:         NET216 (NET-216-0-0-0-0)
NetType:        Direct Allocation
OriginAS:
Organization:   pair Networks (PAIR)
RegDate:        1998-09-24
Updated:        2017-12-08
Comment:        ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
Ref:            https://rdap.arin.net/registry/ip/216.92.0.0


OrgName:        pair Networks
OrgId:          PAIR
Address:        2403 Sidney St
Address:        Suite 210
City:           Pittsburgh
StateProv:      PA
PostalCode:     15203
Country:        US
RegDate:        1997-01-30
Updated:        2018-01-02
Comment:        Please submit abuse reports to abuse@pair.com.
Ref:            https://rdap.arin.net/registry/entity/PAIR


OrgTechHandle: RIFFL1-ARIN
OrgTechName:   Riffle, Matt
OrgTechPhone:  +1-412-381-7224
OrgTechEmail:  matt@pair.com
OrgTechRef:    https://rdap.arin.net/registry/entity/RIFFL1-ARIN

OrgAbuseHandle: ABUSE848-ARIN
OrgAbuseName:   Abuse Handling
OrgAbusePhone:  +1-412-381-7247
OrgAbuseEmail:  abuse@pair.com
OrgAbuseRef:    https://rdap.arin.net/registry/entity/ABUSE848-ARIN

OrgTechHandle: KM383-ARIN
OrgTechName:   Martin, Kevin J.
OrgTechPhone:  +1-412-381-9997
OrgTechEmail:  sigma@smx.pair.com
OrgTechRef:    https://rdap.arin.net/registry/entity/KM383-ARIN

RTechHandle: RIFFL1-ARIN
RTechName:   Riffle, Matt
RTechPhone:  +1-412-381-7224
RTechEmail:  matt@pair.com
RTechRef:    https://rdap.arin.net/registry/entity/RIFFL1-ARIN

RTechHandle: KM383-ARIN
RTechName:   Martin, Kevin J.
RTechPhone:  +1-412-381-9997
RTechEmail:  sigma@smx.pair.com
RTechRef:    https://rdap.arin.net/registry/entity/KM383-ARIN

Dit is dus de hoster:
https://www.pair.com/
PAIR Networks

Easeus lijstje:

https://securitytrails.com/list/apex_domain/easeus.com

track.easeus.com schijnt ook legit:

https://securitytrails.com/list/apex_domain/track.easeus.com

Hoster idd. Pair Networks inc.

Slechts 1 tracker, zoveel kan Ikea niet zeggen, wed ik!

Ik denk dus dat ik netjes EaseUS Data Recovery blijf gebruiken...

Zie ook:

https://itunes.apple.com/us/app/easeus-data-recovery-wizard/id740355970?mt=12

https://www.easeus.com/mac/mac-data-recovery/

Malwarebytes forums daarover:

https://forums.malwarebytes.com/topic/204227-information-about-a-deleted-datafile-recovery-tool-to-see-if-it-is-a-virusransomware-for-mac/

Checked via Terminal:

~ HEX$ codesign -dvvv /Applications/EaseUS\ Data\ Recovery\ Wizard.app
Executable=/Applications/EaseUS Data Recovery Wizard.app/Contents/MacOS/DRWLoader
Identifier=com.easeus.datarecoveryloaderapp
Format=app bundle with Mach-O universal (i386 x86_64)
CodeDirectory v=20200 size=436 flags=0x0(none) hashes=14+3 location=embedded
Hash type=sha1 size=20
CandidateCDHash sha1=7ed36ebba80be6e90603cf752376a072269884eb
Hash choices=sha1
CDHash=7ed36ebba80be6e90603cf752376a072269884eb
Signature size=4283
Authority=Developer ID Application: CHENGDU Yiwo Tech Development Co., Ltd (DLLVW95FSM)
Authority=Developer ID Certification Authority
Authority=Apple Root CA
Signed Time=26 Dec 2018, 03:15:46
Info.plist entries=23
TeamIdentifier=DLLVW95FSM
Sealed Resources version=2 rules=12 files=12
Internal requirements count=1 size=192

NVDR: mijn vet gedrukt.

Moet ik me nu zorgen maken?

HEXDIY en Robert, dank voor jullie info! Ik was dit weekend op het IFFR, lekker even (vrijwel..) níet online . V.w.b. je laatste bevinding HEXDIY, klopt, 'codesign -dvvv' laat een geldig developer certificaat zijn, signed by Apple. Het zorgelijke is wat je daarvoor zelf ook zag, het 'code or signature have been modified' ná de eerste keer starten van het programma. De IP adressen uit Little Snitch leiden naar servers in de USA (goed gezien HEXDIY), op zich niet verontrustend dus.

Ik kom er later op terug, ik kan vast zeggen (Robert) dat de antwoorden van EaseUS tot nu toe nog niet bevredigend zijn en zelfs ontwijkend lijken. Ik heb via mij developer account ook Apple een email gestuurd met mijn 'security concern' over EaseUS en de reproduceerbare stappen om de 'invalid signature' melding te krijgen. Ik kreeg vrij snel een keurig persoonlijk antwoord:

"Hello Boiing (ehh, daar stond mijn echte naam),

Thank you for contacting App Store Review. We understand that you are concern that, “EaseUS Data Recovery,” may have a security issue. We have forwarded your feedback to the appropriate team. Someone from that team will investigate and follow up as needed with the developer. Because we can only share communications about an app with its developer, you will not receive updates about this matter. If you have any other questions or concerns, please don’t hesitate to reach out.

Best regards,

April
App Store Review"

Begrijpelijk dat ze daar verder niet met mij over kunnen communiceren maar toch fijn dat er serieus naar gekeken lijkt te gaan worden.

Fijn dat er serieus naar gaat worden gekeken, en bedankt voor je speurwerk.

Maar wanneer gaan die helpdeskmensen nu eens behoorlijk leren tikken?

We understand that you are concerned that, “EaseUS Data Recovery,”...

Sorry, de schoolmeester in me kon dit effe niet laten...

Ik ben ook benieuwd wat voor ontwijkende antwoorden je kreeg vanwege EaseUS.
Misschien de moeite om even te zoeken naar de Nederlandse bijdragers aan/ vertalers voor EaseUS.
Hun namen zijn te zien in een bovenstaand screenshot van me.

Wordt vervolgd.

Ik had 'm ook gezien . 'April' is vast geen native speaker, maar dan nog... Zal de EaseUS reacties later even samenvatten!

OK, ik ga nog wat op zoek, schijn hier natte voeten te krijgen.

hier de Nederlandse bijdragers aan EaseUS, tenminste als hun gegevens niet gekaapt wezen:

Fred Van Waard
(Profiel zou nog kunnen passen op het 1ste zicht.)
https://www.linkedin.com/in/02081948

Robert J. Klop
(begint de nikkel al te vallen: wat moet een vertaler van o.a. Harry Mulisch op de credits van EaseUS?)
https://www.google.com/search?q=Robert+J.+Klop+vertaler&client=firefox-b-ab&tbm=isch&source=iu&ictx=1&fir=p2p9Hkt1aOz47M%253A%252CL4yECR836Fxd7M%252C_&usg=AI4_-kQdVHkDMMDfmpwlvUr0pa8GWjbpxA&sa=X&ved=2ahUKEwi6jMPlxaDgAhXBh7QKHVQ-AZoQ9QEwA3oECAYQCg#imgrc=p2p9Hkt1aOz47M:

Daniel van der Linden
(die heeft een technisch vertaalbureau, waarom zou EaseUS met zulke expertise dan nog andere vertalers nodig hebben?)
http://www.bureauvanderlinden.nl/

Th.m hulsebosch
(geen directe hits, maar  bijna alle te maken met een vertaalbureau, let ook op de spelfout)

Misschien ben ik paranoïa, maar het begint erop te lijken dat de credits van EaseUS te maken hebben met identiteitsdiefstal.

Nog even de Franse bijdragers bekijken:

Samuel ETTERLEN (plausibel: "software engineer";merk de vet gedrukte achternaam, lijkt ook weer recht van LinkedIn geplukt):
https://fr.linkedin.com/in/samuel-etterlen-900ba99

Gerard Madelénat vind ik niet dadelijk, maar hij lijkt een bekende arts.

Theodor Mikulastik en Jaroslav Petrik lijken ook zomaar lukraak uit LinkedIn te zijn geplukt, Vildik krijgt ook wat hits op Youtube, al dan niet met geluid...

OK, vergissen is menselijk, maar het volledige credit lijstje van EaseUS lijkt hier toch wel stevig van de pot gerukt...



Ik begin hier toch wel de bescheiden mening te ontwikkelen dat het wederwoord aan de mensen van EaseUS is.

Spijtig, ik vond het mooie software.

Voor wie het nog interessant vindt  , hier een samenvatting van de emails met EaseUS support.

Mijn eerste vragen waren waarom er een system extension geïnstalleerd wordt door EaseUS en waarom het 'spctl --asses' commando een 'invalid signature' geeft.

Antwoord:
"Thanks for contacting us. Please download and install the software again from the link below: http://down.easeus.com/product/mac_drw_free If same issue persists, please send us screenshots of the problem for further analysis. "

Ik antwoord met screenshots (zie mijn eerder post), dat ik de software nogmaals gedownload heb en benadrukt dat de 'invalid signature' melding niet na downloaden optreedt maar pas na de eerste keer starten van de software. Tevens nogmaals gevraagd waarom er een 'kext' file wordt geïnstalleerd. En bedankt en groetjes uiteraard .

Antwoord:
"This issue may caused via the Mac system Integrity Protection. Please refer to this guide link below: https://kb.easeus.com/art.php?id=30016  This feature will block the system drive and make the program cannot scan it. You could refer to above link to disable this feature. Then, you could start the program to scan the drive. For the signature issue, may I know what is the version/edition of your Mac OS?"

Dit is een vreemde reactie, de systeemschijf scan werkt wel als de 'kext' extensie wordt geïnstalleerd. Daar hoeft SIP niet gedeactiveerd voor te worden. Antwoord gegeven op de macOS versie en dat ik weet hoe SIP te diabelen en een boot disk te maken. Over de 'signature issue' nogmaals gezegd dat die pas optreed ná de eerste start van het programma.

Antwoord:
"Sorry for the confusion. In fact, the problem is caused by the technical restrictions of Apple. Rest assured, we will keep on improving our software and try to avoid similar problem in our future version."

Ok.. Gezegd dat dit niet mijn vragen beantwoord. Vooral vanwege de 'invalid signature' en dat dit niet veilig lijkt en/of volgens Apple standaard. Jammer dat ze dit niet uit kunnen leggen maar dank voor de moeite.

Antwoord:
"Sorry for the inconvenience. I will report your case to our engineers and we will try to locate the issue. Then, solve it later." en een tijdje later: "Our development department thought it might be an update of Mac OS which recognized the signature as invalid. They are still working on it."

Gemeld dat dit onder El Capitan ook optreedt (thanks HEXDIY) dus dat dat niet de oorzaak kan zijn? Hierna werd er aangeboden een remote sessie te starten zodat "..Our team might be able to find the issue on your computer." Duidelijk gemaakt dat het probleem niet mijn computer is maar het in de EaseUS software zit.

Hierna kwamen ze met deze tekst:
"Our developers tested all computers with MacOS 10.11.6 but did not get such issue. They also tested the download on our website. They think the .dmg file you downloaded might be incomplete, which means one or more built-in files in this setup are probably damaged. However, you can still use it to install the software as the main installation is still intact. Since it's not the App installed from AppStore, the verification mechanism would be much more strict. The system will prompt an invalid signature or other errors even a small icon file is incomplete or corrupted. Please re-download our product on different systems with different links and test the issue again."

Ok, nu zijn corrupte of missende bestanden de mogelijke oorzaak... Voor de vorm nogmaals een verse download gedaan maar dit levert (uiteraard) dezelfde resultaten op. Het installer bestand van de website heeft als datum 26 dec 2018 dus dat is nog steeds hetzelfde. Mijn bevindingen weer doorgegeven, mét screenshots, en wederom benadrukt dat er een verschil is voordat de software wordt gestart (geldige signature) en ná de eerste keer starten ('invalid signature'). Ik ben benieuwd of hier nog iets uit gaat komen.

Een mooi verhaal, maar wat nu? Moeten we deze MacFreak-deal als onveilig bestempelen en deze software direct naar de prullenbak verplaatsen of is er weinig aan de hand en kan je het gewoon gebruiken indien nodig?

That's the question . Voorlopig moet je dat met de info in dit draadje zelf beslissen. Er kan iets aan de hand zijn, het kan ook een onschuldig probleem zijn. Maar bij Chinese tech-bedrijven ben ik zelf altijd een beetje achterdochtig.

Ter aanvulling: álle apps op mijn Mac komen door de 'spctl --assess' keuring (behalve twee die 'source=no usable signature' als output geven omdat ze niet in Apple's XCode zijn geprogrammeerd maar in Java). Ik ben geen expert, maar wat betekent dat nou? Dat ze door de legitieme developer in XCode een handtekening hebben gekregen van Apple. Dat wil niet zeggen dat de software deugt (er is minder controle zoals bij iOS apps) maar dat de developer geregistreerd is bij Apple, en dat de app de Gatekeeper check tijdens installatie zal doorstaan.

Zolang niemand mij hier, of bij EaseUS kan uitleggen waarom hun programma na downloaden wél door de keuring komt maar na het starten niet meer vind ik dat verdacht. Het programma dat je hebt geïnstalleerd is na uitvoering niet meer hetzelfde, zo simpel is het.

Daar kan een reden voor zijn, en een verklaring hebben, maar tot nu toe heb ik die niet gekregen. Mocht je als Chinees bedrijf een dubbele agenda hebben dan zijn dit in ieder de eerste stappen om het niet op te laten vallen:

https://medium.com/@andrew.perfiliev/how-to-verify-app-signatures-43fd5cd1bd3d
https://www.wired.com/story/mac-malware-hide-code-signing/

Deze kwam vanochtend:

"We have reported your case to our engineers again to further check and we will try to do more test on the lab and try to locate the issue. It will take some time to further check this case. We will reply you later via email once hear from our engineers."

Wordt vervolgd.

Spannend of is het ongegrond wantrouwen? Heeft ook een hoog hackgehalte als dit programma zoveel schijnbaar moeiteloos kan terughalen.